美國德克薩斯州近日成為一場法律風暴的中心，針對甲骨文公司（Oracle Corporation）的大規模云數據泄露事件，當地法院已受理集體訴訟。這起于2025年3月31日向德克薩斯西區聯邦地區法院提交的訴狀指控甲骨文未能保護敏感信息，且未及時通知受影響用戶。

數據泄露事件始末

此次泄露事件最早由Hackread.com在2025年3月22日報道。一位化名"rose87168"的黑客在Breach Forums論壇聲稱，其早在2025年1月就入侵了甲骨文的云基礎設施。據該黑客透露，泄露數據包括加密的單點登錄（SSO）密碼、Java密鑰庫（JKS）文件、企業管理器JPS密鑰，以及與甲骨文云SSO和LDAP系統關聯的用戶憑證。據稱被盜數據集涉及約600萬用戶信息。

黑客發布的入侵證據（來源：Hackread.com）

甲骨文公司公開否認存在數據泄露，拒絕進一步置評。但網絡安全公司CloudSEK經獨立調查后表示，已發現數據泄露的"確鑿證據"。2025年3月31日，涉事黑客在Breach Forums論壇公布了更多證據，包括甲骨文云環境的內部LDAP記錄和部分憑證。論壇管理員已核實數據真實性，不過Hackread.com表示在甲骨文公司全面公開信息前，無法完全獨立確認泄露事件。

集體訴訟核心指控

這起集體訴訟由佛羅里達州居民邁克爾·托伊卡赫（Michael Toikach）作為原告代表，于2025年3月31日正式提起。訴狀指出，托伊卡赫的私人信息通過某家使用甲骨文軟件的醫療機構存儲在甲骨文系統中。原告方指控甲骨文未能達到行業標準的安全實踐，存在過失、違反信托責任、不當得利以及違反第三方受益人合同等行為。

訴狀特別強調，甲骨文未遵守德克薩斯州法律規定——企業必須在確認數據泄露后60天內通知受影響個人。截至訴訟提交日，甲骨文尚未發出任何通知。更嚴重的是，泄露數據不僅包含個人身份信息（PII），還涉及敏感醫療數據。訴狀援引彭博社和HIPAA Journal的報道稱，甲骨文已開始低調通知部分醫療客戶關于患者數據泄露的情況。

法庭文件截圖（來源：Hackread.com）

安全防護系統性失效

訴狀詳細列舉了甲骨文的多項失職行為，包括：缺乏適當加密措施、網絡監控不力、未能及時檢測和響應入侵事件等。訴狀還援引甲骨文自身的公開隱私政策，其中承諾會"毫不拖延地報告任何數據泄露事件"，而原告方指控該公司并未履行這一承諾。

黑客在論壇發帖威脅將公布全部受影響企業名單，并聲稱付費即可將其員工記錄從泄露數據中刪除。這起集體訴訟要求甲骨文支付賠償金、提供信用監控服務，并改革其數據安全基礎設施，可能成為該公司近年來面臨的最重大法律挑戰之一。此案也將重新引發關于云服務提供商責任邊界及其處理客戶與終端用戶敏感數據方式的討論。

目前甲骨文尚未向法院提交答辯狀。